中危 lighttpd lighttpd 未加控制的资源消耗（资源穷尽）

CVE编号

CVE-2022-30780

利用情况

暂无

补丁情况

官方补丁

披露时间

2022-06-11

漏洞描述

Lighttpd 1.4.56 through 1.4.58 allows a remote attacker to cause a denial of service (CPU consumption from stuck connections) because connection_read_header_more in connections.c has a typo that disrupts use of multiple read operations on large headers.

解决建议

建议您更新当前系统或软件至最新版，完成漏洞的修复。

参考链接
https://github.com/lighttpd/lighttpd1.4
https://github.com/p0dalirius/CVE-2022-30780-lighttpd-denial-of-service
https://podalirius.net/en/cves/2022-30780/
https://redmine.lighttpd.net/issues/3059

受影响软件情况

#	类型	厂商	产品	版本	影响面
1
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.56	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.57	-
	运行在以下环境
	应用	lighttpd	lighttpd	1.4.58	-
	运行在以下环境
	系统	debian_10	lighttpd	*		Up to (excluding) 1.4.53-4+deb10u2
	运行在以下环境
	系统	debian_11	lighttpd	*		Up to (excluding) 1.4.59-1
	运行在以下环境
	系统	debian_12	lighttpd	*		Up to (excluding) 1.4.59-1
	运行在以下环境
	系统	debian_sid	lighttpd	*		Up to (excluding) 1.4.59-1

阿里云评分 6.2

• 攻击路径 本地
• 攻击复杂度 复杂
• 权限要求 普通权限
• 影响范围 越权影响
• EXP成熟度 未验证
• 补丁情况 官方补丁
• 数据保密性 无影响
• 数据完整性 无影响
• 服务器危害 无影响
• 全网数量 N/A

CWE-ID	漏洞类型
CWE-400	未加控制的资源消耗（资源穷尽）
CWE-682	数值计算不正确

Exp相关链接

- avd.aliyun.com